NovaLoader:一款针对巴西银行的恶意软件家族
字数 1305 2025-08-18 11:38:37

NovaLoader恶意软件家族分析报告

一、恶意软件概述

NovaLoader是一款针对巴西银行的恶意软件家族,采用Delphi开发,并使用Visual Basic Script(VBS)脚本语言扩展功能。其特点是采用多阶段Payload传播机制,最终Payload具有银行凭证窃取能力。

二、传播方法

  1. 主要传播途径

    • 垃圾邮件
    • 社工活动
    • 钓鱼网站

  2. 利用的合法服务

    • Dropbox
    • GitHub
    • Pastebin
    • AWS
    • GitLab

  3. 使用的动态DNS服务

    • No-IP
    • DynDNS

三、技术特点

  1. 脚本使用

    • AutoIt
    • PowerShell
    • Batch脚本
    • VBS脚本(新发现)

  2. 加密技术

    • 使用加密脚本(相比之前仅混淆处理有所升级)

四、感染链分析

1. 主Dropper

  • MD5: 4ef89349a52f9fcf9a139736e236217e
  • 功能:解密并运行嵌入的VB脚本

2. 第一阶段脚本

  • 解密URL:dwosgraumellsa[.]club/cabaco2.txt
  • 下载并运行另一个加密脚本

3. 第二阶段脚本

  • C2通信:向http://54.95.36[.]242/contaw.php发送GET请求
  • 虚拟机检测:使用WMI查询检测虚拟机环境
  • 文件操作
    • 复制系统文件到C:\Users\Public\:
      • rundll32.exe
      • Magnification.dll
  • 下载依赖文件
    • 32atendimentodwosgraumell[.]club/mi5a.php → C:\Users\Public{random}4.zip
    • 32atendimentodwosgraumell[.]club/mi5a1.zip → C:\Users\Public{random}1.zip
    • 32atendimentodwosgraumell[.]club/mi5asq.zip → C:\Users\Public{random}sq.zip
  • 额外C2通信:向54.95.36.242/contaw{1-7}.php发送多个GET请求

4. 第三阶段Payload

  • 形式:DLL文件
  • 功能:作为最终阶段Payload的加载器
  • 执行方式:通过rundll32.exe运行

5. 最终Payload

  • 开发语言:Delphi
  • 主要功能
    • 用户凭证窃取(针对巴西银行)
    • 监控浏览器窗口标题
    • 检测到匹配的巴西银行名称时:
      • 控制目标系统
      • 与C2服务器建立连接
      • 阻止用户访问真正的银行网银页面
      • 在后台进行恶意操作

五、恶意软件命令与字符串

  1. 使用的命令

    • (原文中未详细列出具体命令)

  2. 银行相关字符串

    • (原文中未详细列出具体字符串)

六、入侵威胁指标(IoC)

MD5哈希:

60e5f9fe1b778b4dc928f9d4067b470b
4ef89349a52f9fcf9a139736e236217e
100ff8b5eeed3fba85a1f64db319ff40
99471d4f03fb5ac5a409a79100cd9349
cb2ef5d8a227442d0156de82de526b30
a16273279d6fe8fa12f37c57345d42f7
ac4152492e9a2c4ed1ff359ee7e990d1
fdace867e070df4bf3bdb1ed0dbdb51c
4d5d1dfb84ef69f7c47c68e730ec1fb7
6bf65db5511b06749711235566a6b438
c5a573d622750973d90af054a09ab8dd
ef5f2fd7b0262a5aecc32e879890fb40
35803b81efc043691094534662e1351c
34340c9045d665b800fcdb8c265eebec
a71e09796fb9f8527afdfdd29c727787
5a9f779b9cb2b091c9c1eff32b1f9754
a7117788259030538601e8020035867e
cb9f95cec3debc96ddc1773f6c681d8c
a7722ea1ca64fcd7b7ae2d7c86f13013

URL:

185[.]141[.]195[.]5/prt1.txt
185[.]141[.]195[.]81/prt3.txt
185[.]141[.]195[.]74/prt1.txt
dwosgraumellsa[.]club/cabaco2.txt
wn5zweb[.]online/works1.txt
23[.]94[.]243[.]101/vdb1.txt
167[.]114[.]31[.]95/gdo1.txt
167[.]114[.]31[.]93/gdo1.txt

七、防御建议

  1. 监控和阻断与上述IoC相关的网络连接
  2. 检查系统中是否存在上述MD5哈希的文件
  3. 加强对VBS、PowerShell等脚本执行的监控
  4. 特别关注巴西银行相关的网络活动异常
  5. 实施虚拟机环境检测的防护措施
  6. 加强对C:\Users\Public\目录的写入监控
NovaLoader恶意软件家族分析报告 一、恶意软件概述 NovaLoader是一款针对巴西银行的恶意软件家族,采用Delphi开发,并使用Visual Basic Script(VBS)脚本语言扩展功能。其特点是采用多阶段Payload传播机制,最终Payload具有银行凭证窃取能力。 二、传播方法 主要传播途径 : 垃圾邮件 社工活动 钓鱼网站 利用的合法服务 : Dropbox GitHub Pastebin AWS GitLab 使用的动态DNS服务 : No-IP DynDNS 三、技术特点 脚本使用 : AutoIt PowerShell Batch脚本 VBS脚本(新发现) 加密技术 : 使用加密脚本(相比之前仅混淆处理有所升级) 四、感染链分析 1. 主Dropper MD5 : 4ef89349a52f9fcf9a139736e236217e 功能 :解密并运行嵌入的VB脚本 2. 第一阶段脚本 解密URL:dwosgraumellsa[ . ]club/cabaco2.txt 下载并运行另一个加密脚本 3. 第二阶段脚本 C2通信 :向http://54.95.36[ . ]242/contaw.php发送GET请求 虚拟机检测 :使用WMI查询检测虚拟机环境 文件操作 : 复制系统文件到C:\Users\Public\: rundll32.exe Magnification.dll 下载依赖文件 : 32atendimentodwosgraumell[ . ]club/mi5a.php → C:\Users\Public\{random}4.zip 32atendimentodwosgraumell[ . ]club/mi5a1.zip → C:\Users\Public\{random}1.zip 32atendimentodwosgraumell[ . ]club/mi5asq.zip → C:\Users\Public\{random}sq.zip 额外C2通信 :向54.95.36.242/contaw{1-7}.php发送多个GET请求 4. 第三阶段Payload 形式:DLL文件 功能:作为最终阶段Payload的加载器 执行方式:通过rundll32.exe运行 5. 最终Payload 开发语言 :Delphi 主要功能 : 用户凭证窃取(针对巴西银行) 监控浏览器窗口标题 检测到匹配的巴西银行名称时: 控制目标系统 与C2服务器建立连接 阻止用户访问真正的银行网银页面 在后台进行恶意操作 五、恶意软件命令与字符串 使用的命令 : (原文中未详细列出具体命令) 银行相关字符串 : (原文中未详细列出具体字符串) 六、入侵威胁指标(IoC) MD5哈希: URL: 七、防御建议 监控和阻断与上述IoC相关的网络连接 检查系统中是否存在上述MD5哈希的文件 加强对VBS、PowerShell等脚本执行的监控 特别关注巴西银行相关的网络活动异常 实施虚拟机环境检测的防护措施 加强对C:\Users\Public\目录的写入监控